Хакеры научились лишать людей работы, взломав SAP
14 сен 2017 12:40 #61192
от ICT
ICT создал тему: Хакеры научились лишать людей работы, взломав SAP
Баг как фактор найма Эксперты фирмы SEC Consult обнаружили весьма досаднуюуязвимость в системе рекрутинга SAP E-Recruiting, которая позволяетзлоумышленникам вмешиваться в процесс найма и блокировать подачу заявоксоискателями. Обычно, когда соискатель регистрируется в корпоративномприложении E-Recruiting, ему приходит ссылка на электронную почту с просьбойподтвердить доступ к почтовому ящику. Однако эту процедуру можно обойти,поскольку злоумышленники вполне могут зарегистрировать и «подтвердить»электронные адреса, к которым у них доступа нет. То есть, злоумышленник может зарегистрировать почтовыйадрес, который ему не принадлежит, что может иметь существенные последствия длябизнеса — деловые процессы во многом зависят от достоверности информации опочтовых адресах. [img]http://filearchive.cnews.ru/img/news/2017/09/14/haker700.jpg"> Уязвимость в SAP E-Recruiting позволяет хакерам ломать карьеры Более того, поскольку почтовый адрес может бытьзарегистрирован только один раз, злоумышленник может воспрепятствоватьрегистрации легитимных соискателей в E-Recruiting. Уязвимость затрагивает версии 605, 606, 616 и 617. Она былавыявлена в июле 2017 г. В SAP довольно оперативно откликнулись и подтвердилипроблему. Патч и бюллетень безопасности были выпущены одновременно 12 сентября. [b]Неуникальная величина[/b] Согласно описанию экспертов SEC Consult, в письме оподтверждении адреса содержится ссылка с параметром HTTP GET, в которой спомощью Base64 закодированы параметры «candidate_hrobject» и «corr_act_guid».Первый из них представляет собой идентификатор пользователя, задаваемый вприращениях; второй — это произвольная величина, используемая при подтверждениипочтового адреса. Однако эта величина не привязана к конкретной заявке, азначит, можно повторно использовать величину из какой-либо предыдущейрегистрации пользователя. А поскольку значение «candidate_hrobject»поступательно увеличивается, злоумышленник может эту величину угадать. Злоумышленник, который хочет зарегистрировать почтовый адрес,не принадлежащий ему, может сделать следующие шаги: зарегистрироваться ссобственным почтовым адресом; сразу после этого зарегистрировать чужой адрес;считать величину «candidate_hrobject» из ссылки, полученной при своейрегистрации; увеличить это значение на единицу; внедрить в запрос HTTP GET вписьме о подтверждении второго адреса эту величину и добавить туда же параметр «corr_act_guid»из письма на подтверждение своего исходного адреса (тогда адрес жертвы будетсчитаться подтвержденным, и она потеряет возможность работы с рекрутинговойсистемой). Если это не сработает, можно попытаться еще увеличить значения «candidate_hrobject»— в системе могли успеть зарегистрироваться и подтвердить свои адреса другиелюди. «Эта атака возможна потому, что в ссылке на подтверждениеотсутствует уникальный одноразовый идентификатор, — говорит [b]Георгий Лагода[/b], генеральный директорSEC Consult Services. — Простота эксплуатации делает эту уязвимость довольноопасной как для соискателей, так и для бизнеса. Соискатели могут пострадатьособенно сильно — ничто не помешает злоумышленникам начать"регистрировать Your browser does not support the video tag.
CNews Forum 2017: Информационные технологии завтра
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.